.png)
.png)
Sebuah kerentanan keamanan serius ditemukan pada Ally, plugin WordPress yang dikembangkan oleh Elementor untuk meningkatkan aksesibilitas dan kegunaan situs web. Celah ini memungkinkan penyerang mencuri data sensitif dari database situs tanpa perlu melakukan autentikasi terlebih dahulu. Plugin tersebut digunakan secara luas dan saat ini tercatat memiliki lebih dari 400.000 instalasi aktif.
Kerentanan tersebut dilacak dengan kode CVE-2026-2313 dan dikategorikan memiliki tingkat keparahan tinggi. Temuan ini diungkap oleh Drew Webber, yang dikenal dengan nama samaran mcdruid, seorang offensive security engineer di Acquia. Perusahaan tersebut merupakan penyedia layanan perangkat lunak berbasis cloud yang menawarkan platform Digital Experience Platform untuk penggunaan tingkat enterprise.
Celah yang ditemukan merupakan jenis SQL injection, salah satu teknik eksploitasi paling lama dalam dunia keamanan aplikasi web. Kerentanan jenis ini pertama kali dikenal secara luas lebih dari dua dekade lalu, namun hingga saat ini masih sering muncul dalam berbagai aplikasi web modern.
SQL injection terjadi ketika input yang diberikan pengguna dimasukkan langsung ke dalam query database tanpa proses validasi atau sanitasi yang memadai. Ketika aplikasi tidak melakukan pemrosesan input dengan benar, penyerang dapat menyisipkan perintah SQL tambahan yang memodifikasi perilaku query yang dijalankan oleh sistem. Dalam kondisi tertentu, teknik ini memungkinkan penyerang membaca, memodifikasi, atau bahkan menghapus data yang tersimpan dalam database.
Dalam kasus plugin Ally, kerentanan ditemukan pada fungsi penting yang menangani parameter URL yang disediakan oleh pengguna. Analisis teknis yang dilakukan oleh peneliti keamanan Wordfence menunjukkan bahwa parameter URL tersebut tidak diproses dengan perlindungan yang cukup sebelum dimasukkan ke dalam query SQL.
Masalah utamanya terletak pada metode bernama get_global_remediations(). Dalam implementasinya, nilai parameter URL yang berasal dari pengguna digabungkan secara langsung ke dalam klausa SQL JOIN. Proses ini dilakukan tanpa sanitasi yang memadai untuk konteks SQL, sehingga membuka peluang bagi penyerang untuk menyisipkan karakter khusus yang dapat mengubah struktur query.
Plugin tersebut memang menggunakan fungsi esc_url_raw() untuk memproses URL yang diberikan pengguna. Namun fungsi tersebut hanya dirancang untuk memastikan keamanan format URL, bukan untuk mencegah injeksi SQL. Akibatnya, karakter khusus yang memiliki arti dalam sintaks SQL seperti tanda kutip tunggal atau tanda kurung masih dapat dimasukkan oleh penyerang.
Kondisi tersebut membuat penyerang dapat memanipulasi query SQL yang dijalankan oleh plugin. Dalam praktiknya, penyerang dapat menambahkan perintah tambahan pada query yang sudah ada untuk mengekstrak informasi dari database situs web.
Para peneliti menjelaskan bahwa eksploitasi kerentanan ini dapat dilakukan menggunakan teknik time-based blind SQL injection. Teknik ini memungkinkan penyerang memperoleh informasi dari database meskipun hasil query tidak ditampilkan secara langsung pada halaman web.
Metode tersebut bekerja dengan mengirimkan query yang dirancang untuk memicu jeda waktu tertentu dalam eksekusi database jika kondisi tertentu terpenuhi. Dengan mengamati respons waktu dari server, penyerang dapat secara bertahap menebak isi data dalam database tanpa perlu melihat hasil query secara eksplisit.
Melalui pendekatan ini, penyerang berpotensi mengekstrak berbagai informasi sensitif yang tersimpan dalam database WordPress, termasuk data pengguna, alamat email, atau konfigurasi internal situs.
Meski demikian, peneliti mencatat bahwa eksploitasi kerentanan ini hanya dapat terjadi dalam kondisi tertentu. Plugin Ally harus terhubung dengan akun Elementor, dan modul Remediation yang disediakan plugin tersebut harus dalam keadaan aktif. Modul ini biasanya digunakan untuk membantu memperbaiki masalah aksesibilitas pada situs web secara otomatis.
Perusahaan keamanan Wordfence melakukan verifikasi independen terhadap kerentanan tersebut dan mengonfirmasi bahwa celah tersebut memang dapat dieksploitasi. Setelah temuan tersebut diverifikasi, laporan kerentanan disampaikan kepada pengembang plugin pada 13 Februari.
Tim pengembang Elementor merespons laporan tersebut dengan merilis pembaruan keamanan dalam waktu kurang dari dua minggu. Versi baru plugin Ally, yaitu versi 4.1.0, dirilis pada 23 Februari dan telah memperbaiki kerentanan yang dilaporkan.
Sebagai bagian dari program bug bounty, peneliti yang menemukan kerentanan tersebut menerima penghargaan sebesar 800 dolar Amerika Serikat atas kontribusinya dalam mengidentifikasi dan melaporkan celah keamanan tersebut secara bertanggung jawab.
Namun data dari WordPress.org menunjukkan bahwa tingkat adopsi pembaruan masih relatif rendah. Berdasarkan statistik terbaru, hanya sekitar 36 persen situs yang menggunakan plugin Ally telah memperbarui instalasinya ke versi 4.1.0.
Angka tersebut berarti lebih dari 250.000 situs web masih menjalankan versi plugin yang rentan terhadap eksploitasi CVE-2026-2313. Kondisi ini menciptakan potensi risiko yang signifikan, mengingat eksploitasi kerentanan dapat dilakukan tanpa autentikasi dan hanya memerlukan manipulasi parameter URL tertentu.
Selain memperbarui plugin Ally ke versi terbaru, administrator situs juga disarankan untuk memastikan bahwa instalasi WordPress mereka telah diperbarui ke versi terbaru dari platform tersebut. Pembaruan ini penting karena WordPress sendiri secara berkala merilis perbaikan keamanan yang menutup berbagai celah yang dapat dimanfaatkan oleh penyerang.
Versi terbaru WordPress yang dirilis baru-baru ini adalah WordPress 6.9.2. Pembaruan ini memperbaiki sepuluh kerentanan keamanan yang ditemukan pada platform inti WordPress.
Kerentanan yang diperbaiki mencakup berbagai kategori masalah keamanan, termasuk cross-site scripting atau XSS, bypass otorisasi, serta server-side request forgery atau SSRF. Ketiga jenis kerentanan tersebut dapat memberikan akses tidak sah kepada penyerang atau memungkinkan manipulasi komunikasi antara server dan layanan eksternal.
Tim pengembang WordPress merekomendasikan agar pembaruan ini dipasang segera oleh pemilik situs dan administrator sistem. Pembaruan keamanan yang cepat menjadi salah satu langkah paling efektif untuk mengurangi risiko eksploitasi terhadap celah keamanan yang telah diketahui publik.
Kasus kerentanan pada plugin Ally kembali menyoroti tantangan yang terus muncul dalam keamanan aplikasi web, khususnya pada ekosistem plugin WordPress yang sangat luas. Meskipun kerentanan seperti SQL injection telah dikenal dan dipahami selama bertahun-tahun, kesalahan implementasi sederhana masih dapat membuka peluang eksploitasi serius.
Bagi pengelola situs yang menggunakan plugin pihak ketiga, pemantauan pembaruan keamanan dan pengelolaan patch secara rutin tetap menjadi langkah penting dalam menjaga keamanan sistem. Tanpa pembaruan yang cepat, kerentanan yang telah diketahui dapat dengan mudah dimanfaatkan oleh pihak yang berniat mengeksploitasi kelemahan pada aplikasi web.
.png)
.png)
